Datenschutz im Unternehmen

Transkript

1 Datenschutz im Unternehmen Was Sie schon immer über Datenschutz wissen wollten kompakt zusammengefasst NCC Guttermann GmbH Wolbecker Windmühle Münster

2 1., vollständig neu bearbeitete Auflage by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf Druck: NCC Guttermann GmbH

3 Datenschutz im Unternehmen Was heißt das konkret? Mitarbeiter, Kunden, Lieferanten also Menschen haben auch im beruflichen Kontext das Recht auf informationelle Selbstbestimmung; ein Begriff, der auf das Volkszählungsurteil aus den 1980er Jahren zurückzuführen ist. Dem Datenschutzrecht liegt die Idee zugrunde, dass jeder Mensch grundsätzlich selbst entscheiden darf, wer seine persönlichen Daten speichern, verwenden und weiter geben darf. Konsequenz für Unternehmen: Werden personenbezogene Daten automatisiert und elektronisch verarbeitet, sind die Vorgaben des Bundesdatenschutzgesetzes einzuhalten. Auf Nachfrage (von Kunden, Geschäftspartner, Behörden) ist das Unternehmen respektive die Geschäftsleitung auskunftspflichtig bzw. hat den Nachweis des ordnungsgemäßen Umgangs mit personenbezogenen Daten zu erbringen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (kurz: DSB) gemäß des BDSG (Bundesdatenschutzgesetztes). Was sind personenbezogene Daten? Datenschutzrechtlich relevant sind Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen oder die sich auf eine Person zurückführen lassen. Darunter fällt z.b. Name, Alter, Familienstand, Geburtsdatum Anschrift, Telefonnummer, Adresse Konto-, Kreditkartennummer Kraftfahrzeugnummer, Kfz-Kennzeichen Personalausweisnummer, Sozialversicherungsnummer Videoaufnahmen genetische Daten und Krankendaten Werturteile wie zum Beispiel Zeugnisse

4 Wer muss einen DSB bestellen? Jedes Unternehmen (juristische Person) muss einen DSB bestellen ( 1 Abs. 2 Nr. 3 BDSG). Eine Ausnahme gilt nur, wenn das Unternehmen weniger als zehn Arbeitnehmer beschäftigt. Dabei müssen die Mitarbeiter nicht ständig mit elektronischer Datenverarbeitung beschäftigt sein; es genügt, wenn die Verwendung von Daten gelegentlich anfällt. Ein Beispiel ist die Sekretärin, die unter anderem mit Kundendateien umgeht. Welche Aufgaben des Datenschutzbeauftragten im Unternehmen? Hinwirken auf Einhalten der Datenschutzbestimmungen; die Anordnung zur Anwendung/ Umsetzung bleibt jedoch der Unternehmensleitung vorbehalten Kontrolle der Datenverarbeitung (in Absprache mit dem IT-Verantwortlichen) Schulung der Mitarbeiter hinsichtlich Datenschutz, Erstellung von Merkblättern Dokumentation / Datenschutzhandbuch Ansprechpartner für alle Anfragen zum Thema (Unternehmensleitung, Betriebsrat, Mitarbeiter, Kunden, Dritte) Wer kann zum DSB bestellt werden? Zum Datenschutz bestellt werden dürfen nur natürliche Personen, also entweder ein eigener Mitarbeiter oder ein externe Dienstleister (BDSG 4f). Dieser muss als Datenschutzbeauftragter ausgebildet sein; vertiefte Kenntnisse der Informationstechnik haben; vertiefte Kenntnisse und Anwendung der (Datenschutz-) Gesetze haben; zuverlässig sein und die betrieblichen Abläufe verstehen. Wichtig: Der DSB darf nicht im Interessenskonflikt mit sonstigen Tätigkeiten im Unternehmen stehen (z.b. Geschäftsleitung, Marketing und IT)

5 Wer trägt die Verantwortung und Haftung zum Datenschutz? Geschäftsführung: Gesamtverantwortung zum Datenschutz, Bestellung des Datenschutzbeauftragten, Bewilligung technischer und organisatorischer Maßnahmen zum Datenschutz Datenschutzbeauftragter: Erfüllung seiner gesetzlich vorgeschriebenen Aufgaben Mitarbeiter: Wahrung des Datengeheimnisses Welches Strafmaß droht bei Verstößen gegen das Bundesdatenschutzgesetz? Das Strafmaß variiert je nach Schwere des Verstoßes. Im Schadensfall kann der Verantwortliche selbst oder sein Unternehmen schadensersatzpflichtig gemacht werden. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Verantwortungsloser Umgang mit Personendaten (formaler Verstoß): Bis zu EUR. Beispiel: Ein Datenschutzbeauftragter wurde nicht oder nicht ordnungsgemäß bestellt. Fahrlässige oder vorsätzliche Datenschutzverletzung (materieller Verstoß): Bis zu EUR. Beispiel: Ein Mitarbeiter gibt personenbezogene Kundendaten ohne deren Einwilligung an ein bekanntes Unternehmen weiter. Vorsätzliche Datenschutzverletzung mit Bereicherungs- oder Schädigungsabsicht : Bis zu zwei Jahre Haft und Straftatbestand. Beispiel: Ein Mitarbeiter verkauft personenbezogene Kundendaten ohne deren Einwilligung an einen Wettbewerber. Wie anfangen mit dem Thema Datenschutz? In Unternehmen besteht häufig die Annahme, eigentlich alles Wesentliche in puncto Datenschutz geregelt zu haben. Schließlich bestätigt die IT-Abteilung auf Nachfrage stets: Ja, alles ist sicher. Erfahrungsgemäß fällt es allerdings schwer, für die bereits getroffenen Maßnahmen eine klare Unterscheidung zwischen Datenschutz und Datensicherheit vornehmen zu können bzw. mangels belastbarer Dokumentation die Aussagen zum Status des Datenschutzes auch tatsächlich zu belegen. Abhilfe schafft hier ein Datenschutzaudit, um den aktuellen Stand des Datenschutzes im Unternehmen zu analysieren und mit den gesetzlichen Vorgaben zum Datenschutz abzugleichen. Hieraus ergibt sich ein übersichtliches Bild der Datenschutzsituation im Unternehmen. Inhalte eines Datenschutzaudits: Bestandsaufnahme/Sichtung aller relevanten Unterlagen Auswertung und Dokumentation Schriftlicher Bericht Präsentation, Erklärung und Übergabe der Ergebnisse Handlungsempfehlung

6 Und nach dem Audit? Das Audit liefert Ihnen ein klares Bild zum aktuellen Stand des Datenschutzes in Ihrem Unternehmen. Sollte daraus ggfs. Handlungsbedarf entstehen, kann im zweiten Schritt die Umsetzung einzelner Maßnahmen erfolgen. Im Dialog mit Ihnen und unter Berücksichtigung der vorhandenen Ressourcen (Budget, Zeit) können die geeigneten technischen und organisatorischen Vorkehrungen durchgeführt werden. Bestandsaufnahme Auswertung und schriftlicher Bericht Präsentation und Ergebniserläuterung Maßnahmenkatalog und Handlungsempfehlung Umsetzung der Maßnahmen wie z.b.: Verfahrensverzeichnisse technischer Datenschutz Datenschutz online Auftragsdatenverarbeitung Schulungen Datenschutz Tech. Org. Maßnahmen Parallel dazu wird der (interne oder externe) Datenschutzbeauftragte bestellt, um den gesetzlichen Vorgaben nachzukommen. Was kostet Datenschutz? Audit: in erster Linie abhängig von der Anzahl der Mitarbeiter und Unternehmensstandorte; erfahrungsgemäß zwischen zwei und vier Tage zeitlicher Aufwand für den Auditor. Einführung: aus den konkreten Ergebnissen des Audits resultieren die ggfs. erforderlichen Maßnahmen bzw. der Aufwand zu Einführung eines angemessenen Datenschutzniveaus. Die Kosten und Leistungen dafür können präzise nach dem Audit beziffert werden. Betrieb: Bereitstellungspauschale für den externen DSB, zzgl. Kosten nach Aufwand Erledigung sämtlicher Aufgaben des DSB Einhaltung des Datenschutzes Einbeziehung in Datenverarbeitungen Ansprechpartner für alle Anfragen zum Thema Interner v/s externer Datenschutzbeauftragter Unter bestimmten Voraussetzungen gibt es gute Gründe für die eine oder andere Variante. Der externe DSB ist sofort einsetzbar. Es entstehen keine verdeckten Kosten durch entfallene Arbeitsleistung im Unternehmen. Alle Schulungen sind bereits absolviert und es liegen fundierte Kenntnisse und Erfahrungen im Bereich Datenschutz vor. Der Preis ist kalkulierbar, die Leistungen sind vertraglich vereinbart. Warum Datenschutz ernst nehmen? Zunächst: Weil es eine gesetzliche Pflicht ist. Darüber hinaus: Eine zunehmende Sensibilisierung der Öffentlichkeit für das Thema Datenschutz, neue gesetzliche Vorschriften sowie Rating- und Zertifizierungssysteme haben den betrieblichen Datenschutz verstärkt ins Rampenlicht gerückt. Wird der Datenschutz verletzt, sind massiver Imageverlust, Vertrauensverlust, Haftungsschäden und Bußgeldkosten für Sie die Folge. Und bei genauer Betrachtung wird deutlich, dass geschäftliche Interessen und regulatorische Anforderungen nicht zwingend im Widerspruch zueinander stehen. Im Gegenteil, beide Seiten verfolgen dieselben Ziele: Schutz, Verfügbarkeit, Transparenz. Wer die von extern vorgegebenen Hausaufgaben verstanden hat, wird feststellen, dass die Umsetzung dieser Aufgaben als Ausgangspunkt für die Optimierung interner Prozesse genutzt werden kann. Dokumentation und damit Transparenz von Verfahren und Datenströme unterstützt die Unternehmensleitung in vielen Entscheidungen. Und: Die verantwortungsvolle Verwendung von Daten kann im Marketing kommuniziert werden!

7 Ansprechpartner der NCC Guttermann Jörg ter Beek Leiter Consulting Security Management Tel Martina Brinkmann IRCA Lead Auditor ISMS nach ISO Consulting Security Management Tel Herr ter Beek ist verantwortlich für die Organisation, Qualitätssicherung und Weiterentwicklung dieses Geschäftsbereichs. Er ist erster Ansprechpartner für unsere Kunden aus dem Bereich IT-Security und Datenschutz sowie Ihr Ansprechpartner für alle kaufmännischen Belange. Frau Brinkmann erweitert das Team des Security Managements durch ihr umfangreiches Wissen im Bereich IT-Sicherheit. Sie ist zuständig für die Durchführung von IT- Sicherheitsaudits sowie die Erstellung anschließender Ergebnisberichte und Dokumentationen. Boris Michel Dipl.-Betriebswirt (FH) Datenschutzbeauftragter Tel Christian Philipowski Dipl.-Jurist Datenschutzbeauftragter Tel Herr Michel verfügt über umfangreiches Wissen im Bereich Datenschutz und weiteren damit zusammenhängenden Rechtsgebieten. Durch seine datenschutzrechtliche Expertise als zertifizierter Datenschutzbeauftragter kann er bei Bedarf auch komplexe IT-Strukturen aus Sicht des Datenschutzes betrachten. Herr Philipowski ist unser Fachmann für tiefergehende juristische Aspekte, wenn es um die datenschutzkonforme Nutzung von Daten in Unternehmen geht. Hinzu kommen die Schwerpunkte: Datenschutz im Kontext von Social Media sowie die Verwendung von Daten zu Werbezwecken und Marketing. Juristen, Betriebswirte, IT-Fachberater: Neben profunden Datenschutzkenntnissen jedes einzelnen Kollegen, verfügt das Team über breit gefächerte Qualifikationen. So möchten wir gewährleisten, dass unsere Datenschutzkonzepte möglichst praxistauglich und budgetkonform bei unseren Kunden umgesetzt werden. Unsere Services Datenschutz-Beratung Datenschutz-Audit Mitarbeiterschulungen Auditierung Ihrer Dienstleister Stellung des externen Datenschutzbeauftragten Unterstützung des internen Datenschutzbeauftragten

8 Wir können noch mehr: Kompetenzübersicht der NCC Guttermann IT Solutions Nahezu alle Geschäftsprozesse eines Unternehmens sind IT-gestützt. Ohne eine zuverlässig funktionierende Informationstechnologie kommt der Geschäftsbetrieb sehr schnell zum Stillstand. Die möglichst ständige Verfügbarkeit Ihrer IT-Infrastruktur ohne Ausfallzeiten ist somit Voraussetzung für Ihren Unternehmenserfolg. Business Solutions Mehr Transparenz und effizientere Arbeitsabläufe sind besonders wichtig für kleine und mittlere Unternehmen. Denn sie sind es, die durch den Einsatz moderner Software-Programme Ihre Unternehmensprozesse optimieren können. Durch die Kombination aus passender Software und guter Beratung lassen sich Ihre Unternehmensprozesse so abbilden, dass das Programm sich Ihren Anforderungen anpasst. Und nicht umgekehrt. Document Systems Das papierlose Büro - wohl eher Wunsch als Wirklichkeit, denn entgegen aller Vorsätze, wächst das Druckvolumen weiter. Eine ganzheitliche Betrachtung Ihrer Büroorganisation, kann sich daher durchaus für Sie lohnen. Spezielle Prozessanalysen, individuelle Konzepte und maßgeschneiderte Lösungsansätze sind unsere Werkzeuge zur Prüfung und Optimierung Ihres Paper Output Managements. Security Management Die Unternehmens-IT ist eines der Werkzeuge zur Umsetzung übergeordneter Unternehmensziele. Doch nur funktionieren ist heute nicht mehr die einzige Anforderung, mit der sich Entscheider beschäftigen müssen. IT-Sicherheit und die gesetzeskonforme Datenverarbeitung sind zwei weitere zentrale Kriterien.